アクセスベースの列挙(ABE)はどのように機能しますか?
環境
- ONTAP 9
- Data ONTAP 8 7-Mode
回答
- Access-Based Enumeration(ABE)がCIFS共有で有効になっていると、その下のフォルダまたはファイルにアクセスする権限がないユーザの環境には表示されません。
- ファイルやフォルダに対する実際の権限は変更されず、表示される権限のみが変わります。
- ABEでは、共有自体は非表示にされず、アクセス権限に基づいて、ABEの下に作成されたフォルダ/ファイルのみが非表示になります。
- ユーザや自動化されたシステムが、インデックス作成や管理の目的ですべてのファイルとフォルダの可視性に依存している場合、ABEによってこれらの処理が中断される可能性があります。
注: SVM単位のグローバルオプションはありません。必要に応じて、各共有でABEを有効にする必要があります。
- ローカル管理者は、引き続き無制限の列挙が可能です
- BUILTIN\Administratorsグループのメンバーには、ローカルシステムへの無制限のアクセスが許可されます
- したがって、このグループのアカウントはディレクトリ全体を列挙できます
- デフォルトでは、ABEは無効になっています
- ABEを有効にする
- Data ONTAP 8 7-Modeの場合
cifs shares -change sharename -accessbasedenum - ONTAP 9の場合
::> cifs share properties add -vserver <vserver> -share-name <share> -share-properties access-based-enumeration
- Data ONTAP 8 7-Modeの場合
- ABEの無効化
- Data ONTAP 8 7-Modeの場合
cifs shares -change sharename -noaccessbasedenum - ONTAP 9の場合
::> cifs share properties remove -vserver <vserver> -share-name <share> -share-properties access-based-enumeration
- Data ONTAP 8 7-Modeの場合
追加情報
- CIFS共有TESTを
accessbasedenumオプションで作成する場合
共有 \\FILER\TESTがユーザDOMAIN\userAにマッピングされます
PROVAというフォルダが、Owner/ Full Controlの権限でDOMAIN\userAに作成されます。
- 別のユーザ(DOMAIN\userBなど)には共有TESTが表示されますが、共有
\\FILER\TESTの下にフォルダPROVAは表示されません。これは想定どおりの動作です - CIFS共有のTESTを非表示にするオプションには、次のようなものがあります:
CIFS共有の参照の無効化
- Data ONTAP 8 7-Mode向け
cifs shares -change sharename -nobrowse - ONTAP 9の場合
::> cifs share properties remove -vserver <vserver> -share-name <share> -share-properties browsable
共有を作成して名前の末尾に $ 記号を追加(エクスプローラからは共有が非表示になりますが、共有名を入力するとクライアントから引き続きアクセスできます)
- ONTAP 9.9.1以降では、共有レベルの権限に基づいて共有を列挙するcifsオプションが導入されました
-is-share-enum-permission-check-enabled(権限:advanced)- このパラメータがtrueに設定されている場合、NetShareEnum呼び出しはユーザがアクセスできる共有でのみ応答します。デフォルト値はfalseで、すべての共有で応答します。
- SMB共有でのアクセスベースの列挙の有効化または無効化(ONTAP 9以降)
- アクセスベースの列挙を使用した共有フォルダーのセキュリティ概要(netapp.com)
- ABEの影響を確認するためにクライアントを再接続する必要はありません。次回のファイルリストの照会時に、ABEが有効になっている場合、ユーザがアクセスできないファイル\フォルダは結果に返されなくなります。
- ユーザーがローカル管理者(SVM上)のメンバーである場合、共有を表示できます。